Je hoort de laatste maanden bijna niks anders: bij een groot datalek zijn de gegevens van duizenden, soms zelfs miljoenen mensen op straat komen te liggen. Meestal komt dit doordat een bedrijf zijn computerbeveiliging niet op orde heeft, zoals recentelijk nog bij de app Timehop. Hierbij werden de gegevens van 21 miljoen gebruikers gelekt. Het kan ook dat er simpelweg een fout wordt gemaakt (zoals bijvoorbeeld bij Adecco gebeurde).

Hoe dan ook, een datalek is een ernstige zaak, omdat het gigantische privacyrisico’s oplevert. De Algemene Verordening Gegevensbescherming (AVG) geeft daarom strenge regels over hoe moet worden omgegaan met een datalek. Als bedrijf moet je geen enkel risico nemen en de beveiliging van de door jou verwerkte gegevens goed op orde hebben.

Maar wat als, ondanks al je voorzorgsmaatregelen, de persoonsgegevens van jouw klanten toch op straat komen te liggen? In dit artikel leggen we uit wat je dan moet doen.

Meldplicht
Volgens de AVG moet een organisatie in geval van een datalek binnen 72 uur een melding maken bij de toezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP). Strikt genomen is dit geen nieuwe regel. Al sinds 2016 moeten datalekken worden gemeld bij de AP. In 2017 gebeurde dat dan ook heel vaak: maar liefst 10.000 keer! Sinds de invoering van de AVG is hier veel extra aandacht voor.

De AP houdt een overzicht bij van alle gemelde datalekken. Als daar aanleiding toe is, zal de AP ook onderzoek uitvoeren. Hierbij wordt dan gekeken of je alle benodigde veiligheidsmaatregelen hebt genomen. Daarbij gaat het niet alleen om de technische beveiliging. De AP kijkt ook of je juridisch je zaken op orde hebt. Heb je bijvoorbeeld een Functionaris Gegevensbescherming? Hou je een verwerkingsregister bij? En voldoet je privacy statement aan alle vereisten? Al deze zaken, en nog veel meer, worden door de AP in de gaten gehouden.

Voorkomen is beter dan genezen!
Het kan natuurlijk altijd gebeuren dat er iets mis gaat: een slimme hacker weet gegevens te stelen, of een van je medewerkers stuurt per ongeluk een e-mail naar een verkeerd e-mail adres. In dat soort gevallen moet je kunnen aantonen dat je er vooraf alles aan hebt gedaan om deze risico’s zo klein mogelijk te maken. Dat betekent dat je organisatie juridisch en organisatorisch voorbereid moet zijn om gegevens te verwerken. Blijkt dat achteraf niet zo te zijn, dan kan de AP torenhoge boetes opleggen.

Neem daarom geen enkel risico en neem vandaag nog contact op met HelloLaw! Met onze legal last minute maken wij jouw organisatie binnen 48 uur helemaal AVG proof. Voer nu onze gratis AVG check uit, zodat we een duidelijk beeld krijgen van jouw situatie en we jou zo goed mogelijk verder kunnen helpen.

Klik op onderstaande button: